Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

JREに再び脆弱性 - 電子政府「e-Gov」は最新版対応をアナウンス

サン・マイクロシステムズが提供しているJavaアプリケーションの実行環境「JRE」に脆弱性が見つかったとして、情報処理推進機構(IPA)では、注意を呼びかけている。

今回公表されたのは、JREのXSLT処理に関するもので、悪意あるJavaアプレットを利用したウェブページを閲覧した場合、任意のコードが実行されたり、情報漏洩、ブラウザの終了など被害を受ける可能性がある。

影響を受けるのは、「JRE 6 Update 4」「同5.0 Update 14」「同1.4.2_16」ほか、開発者向けパッケージ「JDK 6 Update 4」「JDK 5.0 Update 14」「SDK 1.4.2_16」などで、いずれも以前のバージョンも含まれる。

今回の脆弱性は、サン・マイクロシステムズが公開した最新版へアップデートすることで回避できるが、一部バージョンについては旧バージョンを削除する必要がある。またバージョンアップによりJavaアプリケーションの実行に影響を及ぼす可能性があるため、注意が必要だ。

同脆弱性は、2006年10月に富士通研究所の兒島尚氏よりIPAへ届け出があり、JPCERTコーディネーションセンターがサンと調整を進めてきたもので、解消まで1年5カ月かかった。

今回脆弱性が見つかった「JRE」は、政府や地方公共団体の電子申請などで幅広く利用されている。2007年には同ソフトに脆弱性が発見され、さらに旧バージョンの利用を推奨している政府機関があったことから、大きな問題となった。

今回の脆弱性について、電子政府の総合窓口となる「e-Gov電子申請システム」では、早々に最新版に対応していることを明らかにしており、最新版の利用を推奨している。

Java.com
http://java.com/ja/

サン・マイクロシステムズ
http://www.sun.co.jp/

(Security NEXT - 2008/03/11 ) このエントリーをはてなブックマークに追加

PR

関連記事

【不正チャージ問題】金融機関口座の取引履歴、「合算」表示に注意を
カスタマイズ可能なフィッシングの模擬演習サービス- エフセキュア
クリック時にクイズで教育するフィッシングトレーニング - 仏Vade
「ドコモ口座」経由の不正チャージ、被害申告が200件超に
脆弱性「Zerologon」の悪用確認 - 侵害封じ込めが困難に、影響多大のため早急に対策を
決済サービス連携で2017年7月以降380件約6000万円の被害申告 - ゆうちょ銀
Windows向けの旧版「ウイルスバスタークラウド」に複数脆弱性
なりすまし不正口座開設、写真なし証明書を悪用 - 筆跡が酷似
2019年の標的型攻撃対策製品市場は約460億円 - 5年後には1.5倍に
複数端末が「Emotet」感染、なりすましメール送信 - ニッセイコム